Gut vorbereitet auf den digitalen Ernstfall: Wie sich mit einem ISMS Sicherheitskultur im Unternehmen etablieren lässt

Advertorial

Dazu zählen die Entwicklungen des Aachener Softwarehauses ConSense GmbH, die ihren Fokus auf die Praxis richten und dabei den Menschen in den Mittelpunkt stellen.

Daten sind in unserer digitalen Welt ein wertvolles Wirtschaftsgut – und damit heiß begehrt. Das spiegelt sich auch in zunehmenden Cyberangriffen wider: Tagtäglich finden sich Nachrichten von versuchten oder erfolgreichen unbefugten Zugriffen, dem Diebstahl wertvoller Informationen oder Ramsomware-Attacken auf Unternehmensnetzwerke. Diese Taten verursachen nicht nur Ärger und Aufwand, sie haben enorme wirtschaftliche Schäden zur Folge und beeinträchtigen das Image eines Unternehmens.

Cyberkriminalität betrifft längst nicht mehr nur große Konzerne, sondern auch zunehmend mittelständische oder kleine Unternehmen. Das Risiko, einem Hackerangriff zum Opfer zu fallen, wird dabei von den Verantwortlichen oft unterschätzt.

IT-Sicherheit wird zur Pflicht – nicht nur für Großunternehmen

Um diesen Gefahren entgegenzuwirken, hat die EU ihre Anforderungen an die Cyberresilienz von Unternehmen mit der 2023 in Kraft getretenen NIS-2-Richtlinie verschärft. Diese muss in Deutschland aktuell in nationales Recht umgesetzt werden und soll voraussichtlich ab Anfang 2026 gelten. Im Gegensatz zum Vorgänger NIS-1 bezieht die Regelung zusätzliche Branchen ein, zum Beispiel Chemie, Industrie/Produktion, Öffentliche Verwaltung, Post- und Kurierdienste sowie weitere.

Für Unternehmen aus den betroffenen Branchen gilt sie ab 50 Beschäftigten und nimmt auch Führungskräfte stärker in die Pflicht. Zu deren Aufgaben gehört es künftig, geeignete Organisationsstrukturen zu schaffen, die den Schutz vor Kriminalität aus dem Netz erhöhen. Unter anderem müssen sie dafür die notwendigen personellen und finanziellen Ressourcen bereitstellen und für eine laufende Kontrolle sorgen. Damit liegt die Verantwortung für Cybersicherheit in der Führungsetage und nicht mehr allein in der IT-Abteilung. Gleichzeitig erhöht sich auch die Haftung im Schadensfall, wenn die Richtlinie nicht umgesetzt wird.

Es genügt demnach nicht mehr, IT-Sicherheitsmaßnahmen nach bestem Wissen und Gewissen umzusetzen. Die betroffenen Betriebe sind dazu verpflichtet, strukturierte, nachweisbare Prozesse einzuführen. Das bedeutet, dass viele Unternehmen künftig organisatorisch und technisch nachrüsten müssen. Damit stehen sie oft vor einer doppelten Herausforderung, denn vielfach fehlen sowohl Ressourcen als auch Orientierung.

Erfahrungen aus der Praxis zeigen: Vor allem kleinere und mittlere Unternehmen tun sich mit der Umsetzung eines ISMS schwer und schrecken häufig vor dem Aufwand, der mit dessen Einführung verbunden ist, zurück. Dabei kann ein ISMS interne Abläufe sogar vereinfachen. Richtig umgesetzt sorgt es dafür, dass Prozesse genau beschrieben, Zuständigkeiten geklärt und Risiken sichtbar gemacht werden. Wenn Mitarbeiter verstehen, welchen Nutzen die Maßnahmen für die Sicherheit der Organisation haben, steigt auch die Akzeptanz.

ISMS als strategisches Werkzeug

Ein wirksames Informationssicherheits-Managementsystem ist kein einmaliges Projekt, sondern ein lebendiger Prozess. Er umfasst organisatorische, personelle und technische Maßnahmen – vom Berechtigungskonzept über Notfallpläne bis zur regelmäßigen Bewertung von Risiken – und wird kontinuierlich weiterentwickelt.

Das ISMS bietet Unternehmen einen strukturierten Rahmen, um sensible Daten zu schützen, gesetzliche Anforderungen zu erfüllen und das Vertrauen von Geschäftspartnern nachhaltig zu stärken. Als digitale Lösung unterstützt es dabei, regulatorische Anforderungen, die die Sicherheit von Informationen zum Ziel haben (neben der NIS-2 auch ISO 27001, TISAX und weitere), effizient und transparent zu managen.

Bei der Suche nach geeigneten Werkzeugen, die den strukturierten Aufbau eines ISMS unterstützen, stellen sich viele Unternehmen die Frage, inwieweit moderne Softwarelösungen diesen Schritt erleichtern können. Die Antwort darauf fällt in der Praxis eindeutig aus: Der Einsatz einer darauf abgestimmten Software bringt erhebliche Vorteile mit sich, sowohl bei der Einführung als auch im laufenden Betrieb.

Die Unterstützung durch eine passende Software reduziert die Komplexität der Aufgabe durch klare Strukturen, eindeutige Zuständigkeiten und automatisierte Abläufe. Insgesamt sorgt ein digitales System für Nachvollziehbarkeit und vor allem auch für Rechtssicherheit.

Die ConSense GmbH, die Software zum Aufbau von Qualitätsmanagementsystemen (QMS) und Integrierten Managementsystemen (IMS) entwickelt, hat die Dynamik rund um Cybersicherheit frühzeitig erkannt. Sie setzt auf Lösungen, mit denen sich akzeptierte und in Unternehmen wirklich gelebte Managementsysteme etablieren lassen, beispielsweise im Bereich der Informationssicherheit.

Dr. Alexander Künzer aus der Geschäftsführung der ConSense GmbH erklärt: „Ein ISMS dient dazu, Risiken systematisch zu erkennen, zu bewerten und steuerbar zu machen. Dabei geht es nicht nur um Firewalls und Zugriffsberechtigungen, sondern vor allem um die Frage, wie sich Sicherheitskultur ganzheitlich im Unternehmen verankern lässt.“

Mehr als nur eine technische Lösung

Das Aachener Unternehmen hat zu diesem Zweck das Modul ConSense GRC (Governance, Risk & Compliance) entwickelt, das die Basissoftware ergänzt. Es bietet eine geeignete Plattform, um ein ISMS aufzubauen und zu verwalten. Die Softwarelösung verknüpft relevante Normen wie die NIS-2 oder auch die ISO 27001, die Datenschutzgrundverordnung (DSGVO) und weitere mit den im System abgebildeten Strukturen der Organisation.

Ein zentrales Element ist das integrierte Asset-Management, mit dem sich eine vollständige Übersicht aller schutzrelevanten Werte in einem Unternehmen aufbauen lässt, sodass eine fundierte Grundlage für die Risikobewertung entsteht. Mit Features wie einem detaillierten Rollen- und Rechtemanagement sowie dem Maßnahmentracking unterstützt es die Planung, Umsetzung und Kontrolle von Sicherheitsmaßnahmen.

Durch integrierte Workflows und automatische Erinnerungsfunktionen wird der Aufwand für Abstimmung und Pflege des Systems deutlich reduziert. Das unterstützt Betriebe dabei, komplexe Zusammenhänge systematisch abzubilden, und verhilft zu mehr Transparenz, Konsistenz und Nachvollziehbarkeit aller Aktivitäten rund um Cybersicherheit.

ConSense zeigt mit der Softwarelösung außerdem, welche Vorteile es hat, ein ISMS nicht isoliert zu sehen, sondern es in ein integriertes Managementsystem einzubetten. Denn viele Unternehmen verfolgen neben Informationssicherheit auch andere normative Vorgaben, darunter zu Bereichen wie Qualitätsmanagement, Umwelt-, Arbeitsschutz- und Datenschutzmanagement, Compliance und mehr. Unter dem Dach IMS lassen sich Synergien ausschöpfen: Informationen können bereichsübergreifend genutzt, Verantwortlichkeiten zentral gesteuert und Audits kombiniert werden. Doppelte Arbeit lässt sich auf diese Weise vermeiden. Das Management der verschiedenen Normen und Vorgaben wird transparenter, effizienter und weniger fehleranfällig.

Die Technologie ist allerdings nur ein Teil der Lösung, unterstreicht Dr. Alexander Künzer: „Wir entwickeln Softwarelösungen, die sich nicht nur an den Normen orientieren, sondern auch an den Bedürfnissen der Menschen. Das zeigt sich zum Beispiel in der Anwendung: Die Software strukturiert, dokumentiert und erinnert. Auf diese Weise unterstützt sie Mitarbeitende, die Verantwortung tragen.“

ISMS schrittweise und mit Augenmaß einführen

Erfahrungen von ConSense zeigen, dass kleinere und mittlere Unternehmen vor dem Aufwand, den der Aufbau eines ISMS mit sich bringt, oft erst einmal zurückschrecken. Hier kann der Experte jedoch beruhigen: „Die Einführung eines ISMS ist kein bürokratischer Kraftakt, sondern eine strategische Chance, Informationssicherheit systematisch und wirksam in Unternehmen zu verankern. In klar strukturierten Schritten lässt sich ein robustes Sicherheitsniveau aufbauen, das spürbaren Mehrwert für die Organisation und die Mitarbeitenden erzielt.“ Nach den Erfahrungen der Aachener Profis hat sich eine schrittweise Einführung in der Praxis bewährt.

Dazu hat ConSense typische Projektphasen definiert. Zu Beginn stehen die initiale Vorbereitung und der Projektstart, in dem ein fachlich versiertes Projektteam unter der Leitung eines ISMS-Verantwortlichen gebildet wird. Eine wichtige Maßnahme besteht darin, Verantwortung zu verankern. Denn wer kein klares Mandat hat, stößt schnell an Grenzen. Der Rückhalt der Geschäftsführung bei der Einführung eines ISMS ist daher entscheidend.

Der Projektumfang wird definiert und vom Management mit Ressourcen und einem offiziellen Kick-off unterstützt. Anschließend folgt eine Phase, in der der Kontext der Organisation analysiert wird. Sie umfasst die Identifikation und Bewertung interner und externer Einflussfaktoren, relevanter Stakeholder sowie deren Anforderungen an die Informationssicherheit.

Darauf aufbauend wird ein systematisches Risikomanagement etabliert. Hierzu gehören die Festlegung von Methodik, die Bewertung von Informationswerten und die Ableitung geeigneter Maßnahmen. Im nächsten Schritt wird das ISMS-Rahmenwerk aufgebaut, inklusive Leitlinien, Sicherheitszielen und verbindlicher Richtlinien zu Kernthemen wie Zugriffssteuerung, Incident-Management oder Backup. Die darauffolgende Phase umfasst die Umsetzung technischer und organisatorischer Maßnahmen gemäß den Vorgaben der befolgten Richtlinie (ISO 27001, NIS-2 oder weitere) – von Verschlüsselung über Netzwerksicherheit bis zu Schulungen und Notfallplänen.

Parallel dazu erfolgt eine strukturierte Dokumentation und Nachweisführung sämtlicher ISMS-relevanter Unterlagen und Abläufe. Sobald das ISMS in Betrieb ist, beginnt die Phase der Überwachung, etwa durch vorab definierte Kennzahlen, interne Audits und regelmäßige Management-Reviews.

Korrekturmaßnahmen und kontinuierliche Verbesserung sind zentrale Elemente, um Abweichungen zu analysieren, Sicherheitsvorfälle aufzuarbeiten und das ISMS weiterzuentwickeln. Wer sich beispielsweise nach ISO 27001 zertifizieren lassen will, ist nun bereit für die Zertifizierungsvorbereitung, bevor das externe Audit stattfinden kann.

Cybersecurity wird zum Wettbewerbsvorteil

Die Einrichtung eines ISMS ist kein Selbstzweck. Unternehmen, die Sicherheitsprozesse durchdacht aufsetzen, steigern nicht nur ihre Resilienz, sie erhöhen auch ihre Attraktivität als Geschäftspartner, denn viele Branchen – von der Automobilindustrie bis zum Gesundheitswesen – verlangen heute nachvollziehbare Standards entlang der gesamten Lieferkette. Ein softwarebasiertes ISMS wird damit zum strategischen Vorteil.

Von noch mehr Effizienz profitieren Unternehmen, die ihr ISMS in ein Integriertes Managementsystem einbetten. Dr. Alexander Künzer unterstreicht: „Unsere Lösungen zeigen, wie sich regulatorische Anforderungen mit betrieblicher Realität vereinen lassen. So wird aus IT-Sicherheit mehr als nur ein Kontrollinstrument – nämlich ein wirkungsvoller Beitrag zu Qualität, Vertrauen und unternehmerischer Zukunftsfähigkeit.“